SSL证书基础知识

证书的格式遵循ITUT X.509国际标准，一个标准的X.509数字证书包含以下内容：

• 证书的版本信息
• 证书的序列号
• 使用的签名算法
• 发行机构名称
• 有效期
• 所有人名称
• 所有人的公开密钥
• 证书发行者对证书的签名

对称加密和非对称加密：

对称加密：一个密钥，文件加密和解密使用相同的密钥

非对称加密：两个密钥，公开密钥和私有密钥。用公开密钥对数据进行加密，只有私有密钥才能解密

haproxySSL证书做应用安全控制

haproxy SSL终端策略：在负载均衡器解码SSL连接并发送非加密连接到后台服务器的做法

haproxy SSL穿透策略：SSL连接在每个代理服务器终止，将CPU负载都分散到那些服务器。缺点是失去增加或修改HTTP报头的能力。服务器失去获取X-Forwarded-*报头的能力，这个报头包含客客户端IP地址、端口是使用协议

SSL终端为最典型策略，但SSL穿透会更安全。

两种策略组合的做法，SSL连接在负载处终止，按需求调整，然后作为新的SSL连接代理到后台服务器，这可以提供更高的安全性和发送客户端能力，代价是CPU能耗增加，配置更复杂。

合格的SSL证书包括：axip.io.csr，xip.io.key，xip.io.crt

之后创建PEM文件：本质上是将证书、密钥及证书认证中心证书拼接成一个文件。

SSL：securt socket layer安全套接层

TLS：transport layer security传输层安全

SSL证书分类：

扩展验证型（EV）SSL证书

组织验证型（OV）SSL证书

域名验证型（DV）SSL证书

三种证书主要区别是包含的信息不一样，DV型证书不包含企业名称信息，而OV型证书包含企业名称信息，OV型和EV型证书，都包含了企业名称等信息，但EV证书因为其采用了更加严格的认证标准，浏览器对EV证书更加“信任”，当浏览器访问到EV证书时，可以在地址栏显示出公司名称，并将地址栏变成绿色。

具体见：http://www.cnblogs.com/sslwork/p/6193256.html 

证书数据结构：

Certificate证书

--Version 版本

--Serial Number序列号

--Algorithm ID 算法标识

--Issuer 颁发者

--Validity 有效期

>Not Before 有效起始日期

>Not After 有效终止日期

--Subject 使用者

--Subject Public Key Info 使用者公钥信息

-- Public Key Algorithm公钥算法

--Subject Public Key公钥

--Issuer Unique Identifier (Optional) 颁发者唯一标识

--Subject Unique Identifier (Optional) 使用者唯一标识

--Extensions (Optional) 扩展

...

Certificate Signature Algorithm 证书签名算法

Certificate Signature 证书签名

什么是CA证书：

答：CA（Certificate Authority）是证书的签发机构。负责证书的签发、认证、管理的机关。

以下场景所用的证书均为SSL证书：

APACHE部署证书：直接将key+cer复制到文件上，然后修改HTTPD.CONF文件

TOMCAT部署证书：将CA签发的证书CER文件导入JKS文件后，复制上服务器，然后修改SERVER.xml

JBOSS部署证书：格式为JKS文件，需要把证书合成JKS格式后方可上传配置。导入完证书后修改standalone.xml文件

HAPROXY：根据不同的策略（总共三种策略），由证书生成PEM文件，修改haproxy的配置文件

F5部署证书：申请CA证书后，会得到5个压缩包，分别为for apache，for IIS，for Nginx ，for Other Server、for Tomcat，部署时选择相关的证书即可。

SSL证书备份：保存好收到的证书压缩包文件及密码，以防丢失。